[עזרה] cookie - הוסטס

יניב בן צבי · 04-12-07, 08:13

היתי מעונין לשמוע על שיטות לשימוש בcookie מאובטח?
חוץ משמירת הסיסמה בוקיז בmd5 מה לעשות כדי שלא יוכלו לפרוץ או לגלות מידע דרך הקוקיז?

Elad-A · 04-12-07, 09:31

אין יותר מדי מה לאבטח..
אתה צריך לעשות בדיקה בדפים כדי לוודא שלא ערכו את הקוקיז, לדוגמא:

PHP קוד:


			
$username = mysql_real_escape_string($_COOKIE['user']);

$password = mysql_real_escape_string($_COOKIE['pass']);



if(!mysql_num_rows(mysql_query("SELECT * FROM `users` WHERE `username` = '$username' AND `password` = '$password' ")))

{

    header('Location: login.php');

}

יניב בן צבי · 04-12-07, 10:07

את זה אני יודע אבל אני שואל על שיטות פריצה יש כאלה וכיצד להתמודד איתם כי בעזרת שפו שונות כול אחד יכול לערוך להכין עוגיה

talbeno · 04-12-07, 10:48

תמיד יוכלו, יש פלאג אין של FF שמאפשר לערוך עוגיות.
מה שכן, אתה יכול פשוט לעשות עוגייה מוצפנת של הססמא, עוגייה מוצפנת של שם המשתמש, ועוגייה עם הID, ולוואדות שכולם מתאימים אחד לשני.

DanielS · 04-12-07, 12:12

ציטוט:

נכתב במקור על ידי talbeno

תמיד יוכלו, יש פלאג אין של FF שמאפשר לערוך עוגיות.
מה שכן, אתה יכול פשוט לעשות עוגייה מוצפנת של הססמא, עוגייה מוצפנת של שם המשתמש, ועוגייה עם הID, ולוואדות שכולם מתאימים אחד לשני.

תמיד יוכלו השאלה כמה אתה תקשה עליהם.
כמו שאלעד ציין אם עושים עריכת קוקיז הוא נתן פיתרון טוב שבודקים בכל דף אם משתמש כזה קיים.

מעבר לזה אתה יכול להצפין את הקוקיז גם כמובן.
אלו שני פתרונות נוחים וטובים

AlmogBaku · 04-12-07, 12:46

הקוקיז הוא המידע של המשתמש,
אם אתה תצפין אותו אפילו פעם אחת יהיה מספיק. למה שהמשתמש יפרוץ לעצמו?
כמובן שיש האקרים וכו' וכו'- לכן בכל מקרה מצפינים.

צריך תמיד לזכור את החוק באבטחה:
"תמיד אפשר לפרוץ, השאלה כמה זה משתלם"

יניב בן צבי · 04-12-07, 13:04

אז יש לי רעיון כזה: אני יעשה מערכת הרשמה שברגע שאתה נרשם אתה רושם את הסיסמה שלך ואתה מקבל id
וברגע שאתה נרשם אתה מקבל "קוד אישי" שהמחשב מגריל בצורה אקראית וכול הנתונים נשמרים במסד
עכשיו ברגע שאתה מנסה להתחבר בשרת תתבצע בדיקה אם השם משתמש והסיסמה קימים
ואם כן תקבל עוגיה עם הסיסמה מוצפנת הid והקוד האישי וכולם חוץ מהid יהיו מוצפנים בmd5
מה אתם אומרים על הרעיון ?

יניב בן צבי · 04-12-07, 22:00

NDVNDV · 04-12-07, 23:18

זה קצת מיותר.. אתה אפילו יכול לעשות למשל את הסיסמה מוצפנת בMD5 עם aaa123 לפניה/אחריה אם אתה לא רוצה שזה יהיה רק הסיסמה בתוך הMD5...
בזבוז משאבים לעשות כל הזמן קוד מוגרל ולהכניס למסד...

ולמה דאבל? :\

04-12-07, 08:13	# 1
יניב בן צבי חבר בקהילה מיני פרופיל תאריך הצטרפות: Nov 2007 הודעות: 162	[עזרה] cookie היתי מעונין לשמוע על שיטות לשימוש בcookie מאובטח? חוץ משמירת הסיסמה בוקיז בmd5 מה לעשות כדי שלא יוכלו לפרוץ או לגלות מידע דרך הקוקיז? Last edited by יניב בן צבי; 04-12-07 at 08:43..

04-12-07, 09:31	# 2
Elad-A הוסטסניון מיני פרופיל תאריך הצטרפות: May 2006 הודעות: 1,987	אין יותר מדי מה לאבטח.. אתה צריך לעשות בדיקה בדפים כדי לוודא שלא ערכו את הקוקיז, לדוגמא: PHP קוד: $username = mysql_real_escape_string($_COOKIE['user']); $password = mysql_real_escape_string($_COOKIE['pass']); if(!mysql_num_rows(mysql_query("SELECT * FROM `users` WHERE `username` = '$username' AND `password` = '$password' "))) { header('Location: login.php'); } __________________ משחקי דפדפן \| משחקים ברשת \| משחקי בנות ברשת

04-12-07, 10:48	# 4
talbeno חבר בקהילה מיני פרופיל תאריך הצטרפות: Aug 2007 מיקום: רחובות הודעות: 165	תמיד יוכלו, יש פלאג אין של FF שמאפשר לערוך עוגיות. מה שכן, אתה יכול פשוט לעשות עוגייה מוצפנת של הססמא, עוגייה מוצפנת של שם המשתמש, ועוגייה עם הID, ולוואדות שכולם מתאימים אחד לשני. __________________ מתכנת PHP ו - Mysql.

04-12-07, 23:18	# 9
NDVNDV חבר בקהילה מיני פרופיל תאריך הצטרפות: Sep 2007 הודעות: 171	זה קצת מיותר.. אתה אפילו יכול לעשות למשל את הסיסמה מוצפנת בMD5 עם aaa123 לפניה/אחריה אם אתה לא רוצה שזה יהיה רק הסיסמה בתוך הMD5... בזבוז משאבים לעשות כל הזמן קוד מוגרל ולהכניס למסד... ולמה דאבל? :\ __________________ בר רפאלי


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

04-12-07, 10:07	# 3
יניב בן צבי חבר בקהילה מיני פרופיל תאריך הצטרפות: Nov 2007 הודעות: 162	את זה אני יודע אבל אני שואל על שיטות פריצה יש כאלה וכיצד להתמודד איתם כי בעזרת שפו שונות כול אחד יכול לערוך להכין עוגיה

04-12-07, 12:46	# 6
AlmogBaku חבר וותיק מיני פרופיל תאריך הצטרפות: Nov 2007 מיקום: מודיעין הודעות: 1,022	הקוקיז הוא המידע של המשתמש, אם אתה תצפין אותו אפילו פעם אחת יהיה מספיק. למה שהמשתמש יפרוץ לעצמו? כמובן שיש האקרים וכו' וכו'- לכן בכל מקרה מצפינים. צריך תמיד לזכור את החוק באבטחה: "תמיד אפשר לפרוץ, השאלה כמה זה משתלם"

04-12-07, 13:04	# 7
יניב בן צבי חבר בקהילה מיני פרופיל תאריך הצטרפות: Nov 2007 הודעות: 162	אז יש לי רעיון כזה: אני יעשה מערכת הרשמה שברגע שאתה נרשם אתה רושם את הסיסמה שלך ואתה מקבל id וברגע שאתה נרשם אתה מקבל "קוד אישי" שהמחשב מגריל בצורה אקראית וכול הנתונים נשמרים במסד עכשיו ברגע שאתה מנסה להתחבר בשרת תתבצע בדיקה אם השם משתמש והסיסמה קימים ואם כן תקבל עוגיה עם הסיסמה מוצפנת הid והקוד האישי וכולם חוץ מהid יהיו מוצפנים בmd5 מה אתם אומרים על הרעיון ?

04-12-07, 22:00	# 8
יניב בן צבי חבר בקהילה מיני פרופיל תאריך הצטרפות: Nov 2007 הודעות: 162	?

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)